如何为 AWS 备份虚拟 MFA

Question

为了保护 AWS 帐户，最好拥有虚拟 MFA 设备，例如 Google Authenticator。

通常，您可以只为二维码拍照，并在任意数量的设备上使用它（如这里建议的https://webapps.stackexchange.com/a/66666/188445，抱歉，无法评论该答案，没有声誉)。

但是，在 AWS 上，它要求两个代码进行确认，这让我认为它是特定于设备的。有什么方法可以在两台设备上制作 AWS MFA 或在手机丢失时使用备份？

Answer 1

首先，我将成为 那个人 并说 - 不要备份您的 MFA 密钥。如果您丢失了设备，只需联系支持人员跳过重置步骤即可。

虽然它不一定会破坏提高安全性的目的，而且也不太可能有人会试图窃取您的密钥，但我认为您在安全方面对自己没有任何好处。

但这不是你要问的。

当您说“在 AWS 上它要求两个代码进行确认时，这让我认为它是特定于设备的”，我不确定我是否遵循。是的，它是特定于设备的，因为您需要扫描 QR 码或输入密钥的特定设备才能通过 MFA 进行身份验证。

但仅仅因为有两个字段，并不意味着您需要两个不同的 QR 码或 MFA 密钥 - 您只需要他们显示给您的那个。

设置身份验证器后，您将看到的第一个代码输入到第一个字段中，然后等待该代码循环退出，然后将下一个代码输入到第二个字段中。要求两个代码只是确保您的身份验证器正常工作。其他使用身份验证器作为 MFA 的服务没有什么不同 - 有些只要求出现的第一个代码，有些要求两个。 （我个人认为两个更好。）